Die US Cyber Security Agency CISA hat kürzlich in ihren Katalog bekannter und ausgebeuteter Schwachstellen (KEV) ein Sicherheitsversagen enthalten, das Wing FTP betrifft Server, ein kommerzieller FTP-Server weit verbreitet in Geschäftsumgebungen. Die offizielle Ausschreibung, die am 16. März 2026 veröffentlicht wurde, klassifiziert das Problem als mittelschwere Schwerkraft und dokumentiert Beweise für eine aktive Ausbeutung, die schnelle Maßnahmen erfordert, insbesondere in kritischen Umgebungen. Die Mitteilung der CISA enthält Hinweise und Empfehlungen für Manager.
Dies ist die Schwachstelle, die als CVE-2025-47813 aufgeführt ist, eine undichte Informationsschwäche, die es Ihnen ermöglicht, die Installationsroute des Servers zu enthüllen, wenn bestimmte Bedingungen in der Sitzung angegeben werden. Ein authentifizierter Angreifer kann in einfacher Weise einen Fehler zwingen, indem er den Wert des "UID"-Sitz-Cookies manipuliert, so dass das System eine Fehlermeldung mit dem gesamten lokalen Serverpfad zurückgibt. Dieses scheinbar harmlose Detail kann zu einem sehr wertvollen Daten werden, um ernsthaftere Angriffe zu kanalisieren. Das öffentliche Register der CVE ist in der National Vulnerability Database für weitere technische Daten verfügbar: CVE-2025-47813 in NVD.
Die Wurzel des Problems wurde durch den Forscher Julien Ahrens of CERs Security nach einem verantwortlichen Offenlegungsverfahren beschrieben: Der Endpunkt "/ loginok.html" wertet im UID-Cookie nicht korrekt abnorme Längen, und wenn der Wert die maximale Routengröße des zugrunde liegenden Betriebssystems überschreitet, wird ein Fehler erzeugt, der interne Daten freigibt. Die Konzepttestexplosion ist in einem öffentlichen Repository verfügbar, in dem die Schritte und der vom Forscher durchgeführte Test detailliert dargestellt sind: Technische Beratung in GitHub. Darüber hinaus veröffentlichte CERs Security eine Analyse, die die Verwundbarkeit innerhalb des vom Lieferanten freigegebenen Korrekturpakets kontextualisiert: Analyse von CERs Security.
Es ist wichtig zu betonen, dass die verletzliche Version alle vorherigen Ausgaben bis 7.4.3. umfasst. Der Hersteller korrigierte den Fehler in der Version 7.4.4, verteilt im Mai nach Kommunikation mit dem Forscher. Das gleiche Update hat auch eine andere kritische Schwachstelle angesprochen, CVE-2025-47812, die Remote-Code-Ausführung ermöglicht und eine maximale Schwere Punktzahl hat; deshalb ist das gemeinsame Update besonders relevant. Die offizielle Produktseite ist verfügbar, um Release-Versionen und Notizen zu überprüfen: Wing FTP Server - Lieferantenseite.
Seit Juli 2025 gab es Anzeichen von schädlichen Aktivität, die diese Fehler zu nutzen. Incident Response Reports zeigen, dass Angreifer die Kette von Fehlern verwendet haben, um schädliche Lua-Skripte herunterzuladen und auszuführen, Umweltinformationen zu sammeln und Remote-Management-Software-Teile oder Überwachung, regelmäßige Schritte in Intrusion Operationen, die Persistenz und laterale Bewegung suchen. Obwohl die spezifischen Details aller Vorfälle noch nicht vollständig veröffentlicht werden, ist die Kombination aus einem Leck von internen Routen und einer entfernten Ausführungslücke im gleichen Produkt ein Muster, das das operative Risiko erhöht.
Für Organisationen und Systemmanager ist die Empfehlung klar: sobald wie möglich auf die Version 7.4.4 (oder die neueste Version des Lieferanten) zu aktualisieren. Darüber hinaus hat die CISA eine spezielle Anweisung an US Federal Executive Agencys erteilt. Die Vereinigten Staaten (FCEB) setzen den 30. März 2026 als Frist für die Umsetzung der notwendigen Patches im Rahmen ihrer vorrangigen Abschwächungspolitik gegen natürliche Schwachstellen. Der KEV-Katalog und seine Priorisierungslogik können auf der CISA-Website überprüft werden: CISA KEV Katalog.
Wenn in allen Fällen ein sofortiges Update nicht möglich ist, sollten Ausgleichsmaßnahmen getroffen werden: Einschränkung des Zugriffs auf die administrativen Schnittstellen- und Server-Ports, Filterung des eingehenden Verkehrs durch weiße Listen, Prüfung und Verschärfung der Authentifizierungsrichtlinien und Überwachung der Zeichen des Engagements in den Datensätzen. Es ist auch bedauerlich, die Datei und die Prozessintegrität bei nicht autorisierten Agenten oder Skripten zu überprüfen. Die Kombination aus Minderung und Patching reduziert das Potenzial für eine effektive Ausbeutung deutlich.
Aus einer breiteren Perspektive erinnert dieser Vorfall erneut daran, dass die im Prinzip "nur" erscheinenden Schwachstellen zur Informationsverbreitung nicht unterschätzt werden sollten: Das Wissen von internen Routen, Dateistrukturen und Konfigurationen erleichtert den Standort und die Ausbeutung nachfolgender kritischer Fehler. In diesem speziellen Fall können die gefilterten Informationen als Schritt für Angriffe verwendet werden, die gemeinsam eine Fernausführung oder eine längere Persistenz in der Wertinfrastruktur ermöglichen.
Wenn Sie Wing FTP-Server verwalten, überprüfen Sie die Notizen und Sicherheitshinweise des Lieferanten, wenden Sie die veröffentlichten Patches an und überwachen Sie Ihre Systeme. Für zusätzliches Lesen und Nachführen von technischen Berichten können Sie die genannten Quellen sehen: die CISA-Benachrichtigung ( Gliederung), Analyse und Verbreitung von CERs Security ( Artikel 2) und der in GitHub ( PoC und Details)
18-jährige ukrainische Jugend führt ein Netzwerk von Infostealern, die 28,000 Konten verletzt und $250.000 Verluste hinterlassen
Die ukrainischen Behörden, in Abstimmung mit US-Agenten. Sie haben sich auf eine Operation konzentriert Infostealer die laut der ukrainischen Cyber Police von Odessa angeblich v...
Die digitale Signatur ist im Check: Microsoft befehligt einen Dienst, der Malware in scheinbar legitime Software verwandelt
Microsoft kündigte die Desartikulation einer "Malware-signing-as-a-Service" Operation, die sein Gerät Signatur-System ausgenutzt, um schädlichen Code in scheinbar legitime binär...
Ein einziger GitHub-Workflow-Token öffnete die Tür zur Software-Lieferkette
Ein einziger GitHub-Workflow-Token scheiterte in der Rotation und öffnete die Tür. Dies ist die zentrale Schlussfolgerung des Vorfalls in Grafana Labs nach der jüngsten Welle vo...
WebWorm 2025: die Malware, die in Discord und Microsoft Graphh versteckt ist, um die Erkennung zu umgehen
Die neuesten Beobachtungen von Cyber-Sicherheitsforschern weisen auf eine Veränderung der besorgniserregenden Taktik eines Schauspielers hin, der mit China verbunden ist. WebWor...
Identität ist nicht mehr genug: kontinuierliche Überprüfung des Gerätes für Echtzeitsicherheit
Identität bleibt das Rückgrat vieler Sicherheitsarchitekturen, aber heute knackt diese Spalte unter neuen Drücken: fortgeschrittene Phishing, Echtzeit-Proxy-Authentifizierungski...
Die dunkle Identitätsfrage verändert die Regeln der Unternehmenssicherheit
Der Identity Gap: Snapshot 2026 Bericht veröffentlicht von Orchid Security legt Zahlen auf einen gefährlichen Trend: die "dunkle Materie" der Identität - Konten und Anmeldeinfor...
PinTheft die öffentliche Explosion, die Ihnen Wurzel auf Arch Linux geben könnte
Eine neue öffentliche Explosion hat die Fragilität des Linux-Privileg-Modells wieder auf die Oberfläche gebracht: Das V12-Sicherheitsteam nannte den Ausfall als PinTheater und v...